CVE-2025-50192 — CRITICAL — SQL injection у Chamilo LMS

Chamilo — це популярна система управління навчанням (LMS), яку використовують у багатьох навчальних закладах та організаціях для цифрової освіти. 2 березня 2026 року була опублікована критична уразливість безпеки, що ставить під ризик всю ІТ-інфраструктуру, яка використовує вразливі версії Chamilo.

Вразливості класу SQL injection залишаються одними з найнебезпечніших у сфері кібербезпеки. Випадки експлуатації уразливості у навчальному софті можуть призвести до повної компрометації бази даних та витоку інформації. Оновлення безпеки для Chamilo є обов’язковим для всіх адміністраторів систем.

Що сталося

У Chamilo LMS до версії 1.11.30 виявлено критичну уразливість типу time-based SQL injection у скрипті /main/webservices/registration.soap.php. Зловмисник може надсилати спеціально сформовані запити на сервер, що дозволяє неконтрольоване виконання SQL-інструкцій та отримання доступу до конфіденційних даних.

Коли та як можлива атака

Експлуатація уразливості можлива дистанційно, без автентифікації та взаємодії з користувачем. Це значно підвищує ризик для систем, оскільки атака може виконуватись будь-ким, хто має доступ до уразливого сервера Chamilo через мережу Інтернет.

Чому це важливо

Успішне використання цієї уразливості дозволяє повністю скомпрометувати IT-інфраструктуру, отримати доступ до інформації студентів, викладачів, навчальних матеріалів, а також порушити цілісність або доступність сервісу. Серйозність уразливості підтверджує максимальна CVSS оцінка 9.8. Наявність патча безпеки означає, що адміністратори мають діяти негайно для запобігання кіберінцидентів.

Рекомендації

Адміністраторам систем, DevOps і IT-організаціям рекомендується:

1. Негайно оновити Chamilo до версії 1.11.30 або вище.

2. Перевірити журнали на предмет підозрілих запитів до /main/webservices/registration.soap.php. 3. Провести аудит безпеки LMS-сервера. 4. Проінформувати команду кібербезпеки про вразливість і забезпечити моніторинг мережевого трафіку.

Технічні деталі

Вразливість стосується Chamilo LMS до версії 1.11.30. Вектор атаки — віддалений (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Оцінка CVSS 3.1 — 9.8 (CRITICAL). Офіційний патч виправляє відповідний скрипт і доступний у репозиторії проєкту: Офіційне джерело.